微软安全公告 4056318

发布日期： 2017年12月12日 版本： 1.1

摘要 微软发布此安全公告旨在提供有关 Azure AD Connect 用于目录同步的 AD DS（Active Directory 域服务）账户安全设置的信息。此公告还为本地 AD 管理员提供了指导，以确保该账户得到适当保护。

公告详情 Azure AD Connect 允许客户在其本地 AD 和 Azure AD 之间同步目录数据。Azure AD Connect 需要使用一个 AD DS 用户账户来访问本地 AD。此账户有时被称为 AD DS 连接器账户。在设置 Azure AD Connect 时，安装管理员可以：

• 提供一个现有的 AD DS 账户，或
• 让 Azure AD Connect 自动创建该账户。该账户将直接在本地 AD 的 User 容器下创建。

为了使 Azure AD Connect 实现其功能，必须授予该账户特定的特权目录权限（例如，用于混合 Exchange 写回的目录对象的写入权限，或用于密码哈希同步的 DS-Replication-Get-Changes 和 DS-Replication-Get-Changes-All 权限）。要了解更多关于该账户的信息，请参阅文章 Azure AD Connect: Accounts and Permissions。

假设存在一个恶意本地 AD 管理员，其对客户本地 AD 的访问权限有限，但拥有对 AD DS 账户的重置密码权限。该恶意管理员可以将 AD DS 账户的密码重置为已知的密码值。这反过来使得恶意管理员能够获得对客户本地 AD 的未授权特权访问。

建议操作

1. 遵循最佳实践管理本地 AD 微软建议客户遵循文章《保护 Active Directory 管理组和账户》中描述的最佳实践来管理其本地 AD。在可能的情况下：

   • 应避免使用 Account Operators 组，因为该组成员默认拥有对 User 容器下对象的重置密码权限。
   • 将 Azure AD Connect 使用的 AD DS 账户和其他特权账户移动到一个仅可由受信任或高特权管理员访问的组织单元中。
   • 将重置密码权限委派给特定用户时，将其访问范围限定在仅他们应该管理的用户对象上。例如，你想让帮助台管理员管理分支机构用户密码重置。考虑将分支机构的用户分组到特定的 OU 下，并授予帮助台管理员对该 OU 的重置密码权限，而不是对整个 User 容器。

2. 锁定对 AD DS 账户的访问 通过在本地 AD 中实施以下权限更改来锁定对 AD DS 账户的访问：

   • 禁用对象上的访问控制列表继承。
   • 删除对象上除 SELF 之外的所有默认权限。
   • 实施以下权限：

     类型	名称	访问	应用于
     允许	SYSTEM	完全控制	此对象
     允许	Enterprise Admins	完全控制	此对象
     允许	Domain Admins	完全控制	此对象
     允许	Administrators	完全控制	此对象
     允许	Enterprise Domain Controllers	列出内容	此对象
     允许	Enterprise Domain Controllers	读取所有属性	此对象
     允许	Enterprise Domain Controllers	读取权限	此对象
     允许	Authenticated Users	列出内容	此对象
     允许	Authenticated Users	读取所有属性	此对象
     允许	Authenticated Users	读取权限	此对象

   你可以使用 Prepare Active Directory Forest and Domains for Azure AD Connect Sync 中提供的 PowerShell 脚本来帮助你在 AD DS 账户上实施权限更改。

对 Azure AD Connect 的改进

• 评估潜在风险 要判断此漏洞是否被用于破坏你的 AADConnect 配置，请执行以下操作：

  • 验证服务账户的最后一次密码重置日期。
  • 如果发现意外的时间戳，请调查该密码重置事件的事件日志。

• 产品改进 Azure AD Connect 版本 1.1.654.0（及之后版本）已添加一项改进，以确保在 Azure AD Connect 创建 AD DS 账户时，会自动应用“锁定对 AD DS 账户的访问”部分中描述的推荐权限更改：

  • 设置 Azure AD Connect 时，安装管理员可以提供现有的 AD DS 账户，或让 Azure AD Connect 自动创建账户。权限更改会自动应用于 Azure AD Connect 在安装期间创建的 AD DS 账户。它们不会应用于安装管理员提供的现有 AD DS 账户。
  • 对于从旧版本 Azure AD Connect 升级到 1.1.654.0（或之后版本）的客户，权限更改不会追溯应用于升级前创建的现有 AD DS 账户。它们将仅应用于升级后创建的新 AD DS 账户。这在你添加要同步到 Azure AD 的新 AD 林时发生。

其他信息

• 微软主动保护计划 为了改善客户的安全保护，微软在每个月的安全更新发布之前向主要的安全软件提供商提供漏洞信息。然后，安全软件提供商可以使用此漏洞信息，通过其安全软件或设备（如防病毒软件、基于网络的入侵检测系统或基于主机的入侵防御系统）向客户提供更新的保护。要确定安全软件提供商是否提供主动保护，请访问计划合作伙伴提供的主动保护网站，列于 Microsoft Active Protections Program Partners。

• 反馈 你可以通过完成微软帮助和支持表单或客户服务联系我们来提供反馈。

• 致谢 微软感谢以下人员与我们一起帮助保护客户：

  • Preempt 的 Roman Blachman 和 Yaron Zinar

• 支持

  • 美国和加拿大的客户可以从安全支持获得技术支持。更多信息，请参见微软帮助和支持。
  • 国际客户可以从当地的微软子公司获得支持。更多信息，请参见国际支持。
  • Microsoft TechNet 安全提供有关微软产品安全的更多信息。

• 免责声明 本公告中提供的信息“按原样”提供，不作任何形式的保证。微软否认所有明示或暗示的保证，包括适销性和针对特定用途的适用性的保证。在任何情况下，对于任何损害，包括直接、间接、附带、后果性、商业利润损失或特殊损害，即使微软公司或其供应商已被告知此类损害的可能性，微软公司或其供应商概不负责。某些州不允许排除或限制附带或后果性损害的责任，因此上述限制可能不适用。

• 修订历史

  • V1.0（2017年12月12日）：公告发布。
  • V1.1（2017年12月18日）：更新了账户权限信息。